Immer größere Datenmassen sicher zu speichern ist eine Herausforderung für jede IT-Infrastruktur. Schon mit Gigabit-Ethernet lassen sich aber ... (mehr)

Sorglose Trojaner

Warum risikogerechtes Verhalten am PC für bloße Nutzer so schwierig ist, lässt sich gut an der auf den ersten Blick unverständlichen Sorglosigkeit beim Umgang mit ausführbaren Programmen aus Web und E-Mail erklären: Die fehlende Vorsicht vor Trojanischen Pferden resultiert aus fehlenden Erfahrungswerten. Weil die User von moderner Malware auf ihren Rechnern unmittelbar nichts merken, entwickeln sie auch kein passendes Verhalten dagegen.

Dass Schadprogramme Daten versenden oder im Hintergrund strafbare Aktivitäten entfalten, bleibt für die meisten Anwender eine abstrakte Gefahr. Ohne plastische, geduldige und für sie verständliche Erklärungen haben sie deshalb keinen Zugang zum Risikopotenzial – ganz anders bei Alltagsgefahren, die sie permanent durch ihre Sinne erfassen.

Hinzu kommen ein paar weitere menschliche Eigenschaften, die sich in der Offline-Welt über Jahrtausende hinweg bewährt und nun ausgerechnet beim Einsatz von IT-gestützter Kommunikation negative Auswirkungen haben. Dazu gehört auch die Sure-Gain-Heuristik, die Menschen eher zu einem kleinen, sicheren Gewinn greifen lässt als zu einem unsicheren großen. Sie hat auch die Konsequenz, dass die meisten Menschen für ein sicher zu erreichendes und zugleich dringendes Etappenziel die Bedenken über den Ausgang umfassenderer Projekte erst einmal in den Hintergrund schieben.

Genau dies führt dazu, dass ein Anwender alle Warnungen in den Wind schlägt, wenn er beim Absenden einer wichtigen Nachricht irgendwo in einem Hotelnetz die Meldung erhält, dass die Kommunikation potenziell unsicher sei. Ein Arbeitnehmer, der kritisiert wird, wenn er für sicheres Verhalten Zeit opfert, wird erst recht so vorgehen.

Manipuliert ein Angreifer einen Menschen hingegen direkt, um unberechtigt an Informationen zu gelangen, dann liegt ein Fall von "Social Engineering" vor. Die in Wirklichkeit eher asozialen Ingenieure kommen häufig durch Ausnutzen von Sympathie oder gespielter Autorität zum Ziel. Auch der Appell an Hilfsbereitschaft funktioniert gut, erfundener Zeitmangel ebenso: "Ich bin Ihr Kooperationspartner aus Taiwan, bitte senden Sie mir schnell die Entwicklungsdaten, sonst kommen wir mit unserem neuen Lieferanten nicht zum Vertrag!"

Geschenke oder gezielte Unterstützung wirken, weil sie in nahezu jedem Kulturkreis unweigerlich den Wunsch wecken, etwas zurückzugeben. Macht ein Social Engineer seinem Opfer vor, alle anderen im Betrieb würden in einer ganz bestimmten Weise handeln, hat er ebenfalls gute Chancen: "Wegen der einen Akte müssen Sie doch nicht den ganzen Dienstweg bemühen, Ihre Kollegen waren da nicht so pingelig."

Hier gegenzusteuern ist schwierig und verlangt Fingerspitzengefühl, weil Vorsicht nicht zu einem lähmenden Misstrauen im Betrieb gegenüber kreativer zwischenmenschlicher Kommunikation führen darf. Wenn Abwehr von Social Engineering mit der Forderung kollidiert, Service-orientiert und hilfsbereit zu sein, ist sogar intensives Training schwieriger Situationen notwendig.

Wie die Praxis der Einbindung von Anwendern in die Sicherheitsstrategie einer Organisation heute aussehen kann, zeigte am 27. und 28. Oktober 2009 die Fachkonferenz Secaware in Düsseldorf ([8], Abbildung 3). Unternehmen und öffentliche Institutionen wie die Rückversicherung Munich Re, die Bundesverwaltung, Volkswagen, T-Systems, Enbw oder auch Microsoft leisten sich entweder eigene Teams aus Sicherheitstechnikern, Marketingprofis und Psychologen, um ihre Mitarbeiter zu trainieren, oder sie ziehen spezialisierte Dienstleister hinzu.

Abbildung 3: Auf den Vorträgen der Security-Awareness-Konferenz (Secaware) in Düsseldorf am 27. Oktober stand auch das Spannungsfeld zwischen Mitarbeiterüberwachung und Compliance im Fokus.

Die Kampagnen und Einzelmaßnahmen, die dann starten, greifen auf Medien aller Art zurück, von Filmen über Comics, Newsletter und Intranet-Sites bis hin zu klassischen Poster-Kampagnen, begleitenden Spielen und Gadgets. Die Rückendeckung der Geschäftsleitung ist ebenso Standard wie das Einbeziehen des Führungspersonals.

Gute Stimmung

Problematisch ist, dass schon die Erhebung von Defiziten in Wissen und Verhalten des Personals an Leistungsmessung grenzt und daher in enger Kooperation mit Betriebsräten und Datenschützern erfolgen muss. Auffällig war der von fast allen Referenten geäußerte Appell, auf eine vertrauensvolle Zusammenarbeit mit den Anwendern zu setzen. Im Zusammenhang mit Awareness-Maßnahmen (Bewusstsein) sollte ein eventuell aufgedecktes Fehlverhalten von Mitarbeitern nicht bestraft werden.

Schwierig ist, wie die Secaware und der Awareness-Track der vorangegangenen Security-Konferenz ISSE [9] in Den Haag zeigten, vor allem die aus Compliance-Gründen und zur internen Rechtfertigung für viele Unternehmen unumgängliche Messung der Wirkung von Awareness-Maßnahmen. Hier sichern sich Unternehmen die Hilfe speziell ausgebildeter Sozialpsychologen, die für Risikoanalysen im menschlichen Bereich (Human Factor Risk Assessment) ein ganzes Arsenal von Befragungsmethoden einsetzen.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020